OAuth2.0とOpenID Connectについて勉強するときに読んだ、読んでいるリンクのまとめ。
読んだら記事の感想とともに残す。今後も増やす。
OAuth2.0
- OAuth 2.0の代表的な利用パターンを仕様から理解しよう - Build Insider
- ユースケースに応じたフロー図および利用するパラメータについて具体的に示されている。
- 概念についてなんとなくわかった、実際の利用シーンやHTTPリクエスト・レスポンスがどうなっているのか気になり始めたら、見ると良い。
- OAuth2.0 PKCEとは 〜Stateとの違い〜 - Qiita
- PKCEについての説明
- 今後PKCEは仕様としても標準になる予定、必ず理解しておくこと
- 図解:OAuth 2.0に潜む「5つの脆弱性」と解決法:デジタルID最新動向(2)(1/4 ページ) - @IT
- OAuthの脆弱性についての説明
- 今は上記以外にも増えてきているはず、要確認
- OAuth IdP Mix-Up Attack とは? - OAuth.jp
- 上記の記事の5つ目にも出ているミックスアップ攻撃
- OAuth 2.0でのHolder-of-Key TokenとKeycloakについて - Qiita
- ちょっと別の内容だが、Bearer以外のトークンについて
- Financial-grade API (FAPI) WG | OpenID
- FAPIの公式情報
- 実装者による Financial-grade API (FAPI) 解説 - Qiita
- FAPIについての記事
- OAuth 2.1
- 次のOAuthの公式情報
OpenID Connect
- OAuth および OpenID Connect — Authlete ナレッジベース
- なぜOpenID Connectが必要となったのか、その歴史的背景
- OpenID ConnectおよびOAuth、その前に活躍していたSAMLなどの概念をざっくり掴むのに良い。
- ただし、スライド1枚1枚を詳しく見ていくと初学者は戸惑いそう(戸惑った)。
- OpenID Connect 概要 (2013年9月)
- 上記のスライドと似ているが、OpenID Connectにだけフォーカスした短いスライド(本編だけなら10枚ほど)
- IDトークンと各フローについて各1枚ずつにまとまっていて、ざっくり復習するには良い。
- 初学者にはいきなり全て説明されてしまうので戸惑うとおもう(戸惑った)。
- 一番分かりやすい OpenID Connect の説明 - Qiita
- OpenID Connectの登場人物を擬人化して説明しており、初学者にもわかりやすい。
- 記事下部のYoutube動画で記事の内容を動画で説明しており、こちらのほうが話が入ってくる気がする。
- OAuth & OIDC 入門編 by #authlete - YouTube
- 上記記事の動画での説明および周辺の用語について詳しく説明している。
- 実際のHTTPリクエスト・レスポンスを示しながら説明しており、SEとしてはこのほうが理解しやすいと思う。
- OpenID Connect 全フロー解説 - Qiita
- OIDCのフローのまとめ
- 頭がこんがらがったら、読むと良い
- 『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
- OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ - Build Insider
- 基本的な用語からの記事
- アプリごとの具体的なフローも示されている、このフローが読めて理解できていれば基本的な実装はできるとおもう
- オージス総研の製品事例
- 興味があれば
- アイデンティティ管理の新しい教科書 連載インデックス - @IT
- 連載記事
- OIDCがわかってきたら読むべきか
- JSON Web Tokens - jwt.io
- JWTをブラウザ上で解析、復号化してくれる
その他
- OAuth.jp
- OAuthの記事が書かれているブログ
- 検索はしにくいかもしれない、タイムリーな記事の解説としてみるべきか